華為交換機DHCPsnooping配置教程

1、華為交換機DHCP snooping配置教程DHCP Snooping是一種DHCP安全特性，在配置DHCP Snooping各安 全功能之前需首先使能DHCP Snooping功能。使能DHCP Snooping功能的順序是先使能全局下的DHCP Snooping功能， 再使能接口或VLAN下的DHCP Snooping功能。圖1配置DHCP Snooping基本功能組網(wǎng)圖如上圖1所示，Switch_1是二層接入設(shè)備，將用戶PC的DHCP請求轉(zhuǎn)發(fā)給DHCP服務(wù)器。以Switch_1為例，在使能DHCP Snooping功能時需要注意： 使能DHCP Snooping功能之前，必須已使用命令d

2、hcp enable 使能了設(shè)備 的DHCP功能。全局使能DHCP Snooping功能后，還需要在連接用戶的接口（如圖中的接 口 if1、if2 和 if3）或其所屬 VLAN（如圖中的 VLAN 10）使能 DHCP Snooping 功能。當存在多個用戶PC屬于同一個VLAN時，為了簡化配置，可以在這個VLAN 使能 DHCP Snooping 功能。請在二層網(wǎng)絡(luò)中的接入設(shè)備或第一個DHCP Relay上執(zhí)行以下步驟。1 使能 DHCP Snooping 功能Huaweidhcp snooping enable ?ipv4 DHCPv4 Snoopingipv6 DHCPv6 Snoop

3、ingvlan Virtual LAN或Huaweidhcp snooping over-vpls enable # 使能設(shè)備在 VPLS 網(wǎng)絡(luò)中的DHCP Snooping 功能或Huawei-vlan2dhcp snooping enableHuawei-GigabitEthernet0/0/3dhcp snooping enable配接口信任狀態(tài)Huawei-GigabitEthernet0/0/2dhcp snooping trusted或Huawei-vlan3dhcp snooping trusted interface GigabitEthernet 0/0/6去使能DHCP S

4、nooping用戶位遷移功能在移動應(yīng)用場景中，若某一用戶由接口 A上線后，切換到接口 B重新上線， 用戶將發(fā)送DHCP Discover報文申請IP地址。缺省情況下設(shè)備使能DHCP Snooping功能之后將允許該用戶上線，并刷新 DHCP Snooping 綁定表。但是在某些場景中，這樣的處理方式存在安全風險，比如網(wǎng)絡(luò)中存在攻擊者仿 冒合法用戶發(fā)送DHCP Discover報文，最終導致DHCP Snooping綁定表被刷 新，合法用戶網(wǎng)絡(luò)訪問中斷。此時需要去使能DHCP Snooping用戶位置遷移功能，丟棄DHCP Snooping 綁定表中已存在的用戶（用戶MAC信息存在于DHCP S

5、nooping綁定表中）從 其他接口發(fā)送來的DHCP Discover報文。Huaweiundo dhcp snooping user-transfer enable4,配置ARP與DHCP Snooping的聯(lián)動功能DHCP Snooping設(shè)備在收到DHCP用戶發(fā)出的DHCP Release報文時將會 刪除該用戶對應(yīng)的綁定表項，但若用戶發(fā)生了異常下線而無法發(fā)出DHCP Release報文時，DHCP Snooping設(shè)備將不能夠及時的刪除該DHCP用戶對 應(yīng)的綁定表。使能ARP與DHCP Snooping的聯(lián)動功能，如果DHCP Snooping表項中 的IP地址對應(yīng)的ARP表項達到老化時

6、間，則DHCP Snooping設(shè)備會對該IP 地址進行ARP探測，如果在規(guī)定的探測次數(shù)探測不到用戶，設(shè)備將刪除用戶對 應(yīng)的ARP表項。之后，設(shè)備將會再次按規(guī)定的探測次數(shù)對該IP地址進行ARP 探測，如果最后仍不能夠探測到用戶，則設(shè)備將會刪除該用戶對應(yīng)的綁定表項。只有設(shè)備作為DHCP Relay時，才支持ARP與DHCP Snooping的聯(lián)動功 能。5配置用戶下線后及時清除對應(yīng)MAC表項功能當某一 DHCP用戶下線時，設(shè)備上其對應(yīng)的動態(tài)MAC表項還未達到老化時 間，則設(shè)備在接收到來自網(wǎng)絡(luò)側(cè)以該用戶IP地址為目的地址的報文時，將繼續(xù) 根據(jù)動態(tài)MAC表項轉(zhuǎn)發(fā)此報文。這種無效的報文處理在一定程度上

7、將會降低設(shè)備的性能。設(shè)備在接收到DHCP用戶下線時發(fā)送DHCP Release報文后，將會立刻刪除 用戶對應(yīng)的DHCP Snooping綁定表項。利用這種特性，使能當DHCP Snooping動態(tài)表項清除時移除對應(yīng)用戶的MAC表項功能，則當用戶下線時， 設(shè)備將會及時的移除用戶的MAC表項。Huaweidhcp snooping user-offline remove mac-address6、配置丟棄GIADDR字段非零的DHCP報文DHCP 報文中的 GIADDR( Gateway Ip Address)字段記錄了 DHCP 報文 經(jīng)過的第一個DHCP Relay的IP地址，當客戶端發(fā)出DH

8、CP請求時，如果服務(wù) 器和客戶端不在同一個網(wǎng)段，那么第一個DHCP Relay在將DHCP請求報文轉(zhuǎn) 發(fā)給DHCP服務(wù)器時，會把自己的IP地址填入此字段，DHCP服務(wù)器會根據(jù)此 字段來判斷出客戶端所在的網(wǎng)段地址，從而選擇合適的地址池，為客戶端分配該 網(wǎng)段的IP地址。圖1多DHCP中繼場景下DHCP報文處理流程（以DHCP Request 報文為例）如上圖1所示，在為了保證設(shè)備在生成DHCP Snooping綁定表時能夠獲取 到用戶MAC等參數(shù)，DHCP Snooping功能需應(yīng)用于二層網(wǎng)絡(luò)中的接入設(shè)備或 第一個DHCP Relay上（如圖中的DHCP Relay1設(shè)備）。故DHCP Snoop

9、ing設(shè)備接收到的DHCP報文中GIADDR字段必然為零， 若不為零則該報文為非法報文，設(shè)備需丟棄此類報文。在DHCP中繼使能DHCP Snooping場景中，建議配置該功能。通常情況下，PC發(fā)出的DHCP報文中GIADDR字段為零。在某些情況下， PC發(fā)出的DHCP報文中GIADDR字段不為零，可能導致DHCP服務(wù)器分配錯 誤的IP地址。為了防止PC用戶偽造GIADDR字段不為零的DHCP報文申請IP地址，建議配置該功能。Huaweidhcp snooping check dhcp-giaddr enable vlanINTEGER Virtual LAN ID或Huawei-vlan5dh

10、cp snooping check dhcp-giaddr enableHuawei-GigabitEthernet0/0/2dhcp snoopingenable使能 DHCP Server 探在使能DHCP Snooping功能并配置了接口的信任狀態(tài)之后，設(shè)備將能夠保 證客戶端從合法的服務(wù)器獲取IP地址，這將能夠有效的防止DHCP Server仿冒者攻擊。但是此時卻不能夠定位DHCP Server仿冒者的位置，使得網(wǎng)絡(luò)中仍然存在著 安全隱患。通過配置DHCP Server探測功能，DHCP Snooping設(shè)備將會檢查并在日志 中記錄所有DHCP回應(yīng)報文中攜帶的DHCP Server地址與

11、接口等信息，此后網(wǎng) 絡(luò)管理員可根據(jù)日志來判定網(wǎng)絡(luò)中是否存在偽DHCP Server進而對網(wǎng)絡(luò)進行維 護。Huaweidhcp server detect8,防止DHCP報文泛洪攻擊在DHCP網(wǎng)絡(luò)環(huán)境中，若存在DHCP用戶短時間向設(shè)備發(fā)送大量的DHCP 報文，將會對設(shè)備的性能造成巨大的沖擊以致可能會導致設(shè)備無常工作。通過使 能對DHCP報文上送DHCP報文處理單元的速率進行檢測功能將能夠有效防止 DHCP報文泛洪攻擊。8.1、使能對DHCP報文上送DHCP報文處理單元的速率進行檢測功能 Huawei-vlan3dhcp snooping check dhcp-rate enable # 接口視圖

12、下命 令一樣Huaweidhcp snooping check dhcp-rate enableINTEGER Rate value (Unit:pps)alarmAlarmvlanVirtual LAN8.2、DHCP報文上送DHCP報文處理單元的最大允許速率Huawei-vlan3dhcp snooping check dhcp-rate ?INTEGER Rate value (Unit:pps)enable EnableHuawei-vlan3dhcp snooping check dhcp-rate 808.3、使能當丟棄的DHCP報文數(shù)達到告警閾值時的告警功能Huawei-Giga

13、bitEthernet0/0/2dhcp snooping alarm dhcp-rate enable8.4、配置接口下被丟棄的DHCP報文的告警閾值Huawei-GigabitEthernet0/0/2dhcp snooping alarm dhcp-rate threshold ?INTEGER Threshold value (Unit:packets)9、防止仿。職？報文攻擊在DHCP網(wǎng)絡(luò)環(huán)境中，若攻擊者仿冒合法用戶的DHCP Request報文發(fā)往DHCP Server，將會導致用戶的IP地址租約到期之后不能夠及時釋放，以致合 法用戶無法使用該IP地址；若攻擊者仿冒合法用戶的DHC

14、P Release報文發(fā)往 DHCP Server，將會導致用戶異常下線。在生成DHCP Snooping綁定表后，設(shè)備可根據(jù)綁定表項，對DHCP Request 報文或DHCP Release報文進行匹配檢查，只有匹配成功的報文設(shè)備才將其轉(zhuǎn) 發(fā)，否則將丟棄。這將能有效的防止非法用戶通過發(fā)送偽造DHCP Request或DHCP Release 報文冒充合法用戶續(xù)租或釋放IP地址。9.1、使能對從指定VLAN上送的DHCP報文進行綁定表匹配檢查的功能 Huaweidhcp snooping check dhcp-request enable vlan ?INTEGER Virtual LAN

15、ID或Huawei-GigabitEthernet0/0/2dhcp snooping check dhcp-request enable9.2、使能與綁定表不匹配而被丟棄的DHCP報文數(shù)達到閾值時的DHCPSnooping告警功能Huawei-GigabitEthernet0/0/2dhcp snooping alarm dhcp-request enable9.3、DHCP Snooping丟棄報文數(shù)量的告警閾值。Huaweidhcp snooping alarm threshold ?INTEGER Threshold value (Unit:packets)9.4、與綁定表不匹配而被丟

16、棄的DHCP報文的告警閾值Huawei-GigabitEthernet0/0/2dhcp snooping alarm dhcp-request threshold ?INTEGER Threshold value (Unit:packets)10,防止DHCP Server服務(wù)拒絕攻擊若在網(wǎng)絡(luò)中存在DHCP用戶惡意申請IP地址，將會導致IP地址池中的IP地 址快速耗盡以致DHCP Server無法為其他合法用戶分配IP地址。另一方面，DHCP Server通常僅根據(jù) CHADDR( client hardware address , 客戶端硬件地址)字段來確認客戶端的MAC地址。如果攻擊者通

17、過不斷改變 DHCP Request報文中的CHADDR字段向DHCP Server申請IP地址，將會導 致DHCP Server上的地址池被耗盡，從而無法為其他正常用戶提供IP地址。為了防止某些端口的DHCP用戶惡意申請IP地址，可配置接口允許學習的 DHCP Snooping綁定表項的最大個數(shù)來控制上線用戶的個數(shù)，當用戶數(shù)達到該 值時，則任何用戶將無法通過此接口成功申請到IP地址。為了防止攻擊者不斷改變DHCP Request報文中的CHADDR字段進行攻擊， 可使能檢測DHCP Request報文幀頭MAC地址與DHCP數(shù)據(jù)區(qū)中CHADDR 字段是否相同的功能，相同則轉(zhuǎn)發(fā)報文，否則丟棄。

18、10.1、設(shè)備允許學習的DHCP Snooping綁定表項的最大個數(shù)Huaweidhcp snooping max-user-number ?INTEGER Max user number valueHuaweidhcp snooping max-user-number 20 vlan Virtual LAN Huaweidhcp snooping max-user-number 20 vlan ?INTEGER Virtual LAN ID或Huawei-GigabitEthernet0/0/2dhcp snooping max-user-numberINTEGER Max user num

19、ber value10.2、DHCP Snooping綁定表的告警閾值百分比Huawei dhcp snooping user-alarmpercentage percent-lower-valuepercent-upper-value10.3、接口允許學習的DHCP Snooping綁定表項的最大個數(shù)。Huawei-GigabitEthernet0/0/2dhcp snooping max-user-numberINTEGER Max user number value或Huawei-vlan2dhcp snooping max-user-number ?INTEGER Max user n

20、umber value10.4、使能檢測DHCP Request報文幀頭MAC與DHCP數(shù)據(jù)區(qū)中CHADDR 字段是否一致功能Huaweidhcp snooping check dhcp-chaddr enable vlan ?INTEGER Virtual LAN ID或Huawei-GigabitEthernet0/0/2dhcp snooping check dhcp-chaddr enable ?alarm Alarm或Huawei-vlan2dhcp snooping check dhcp-chaddr enable10.5、幀頭MAC地址與DHCP數(shù)據(jù)區(qū)中CHADDR字段不匹配而被

21、丟棄的DHCP報文的告警閾值Huawei-GigabitEthernet0/0/2dhcp snooping alarm dhcp-chaddr threshold ?INTEGER Threshold value (Unit:packets)11、在DHCP報文中添加0?首。湖2字段甘宙 DHCP Serve 感&漸媽四 DHCP 丑 Fsa都普ffiKFMnHF、如曰fflDHCP 期毋闕君 Opi-on82 N。Opi_on82 濟IBC1J知 7 DHCP C一一獸-sa哪a疝，沛aaafflDHCPa舟期)4患渤君 Opi_on82 濟1沖旦炳 cp n- s gF哩* 游藜 DHC

22、P Server、w3宙揄 cp Server 瞟&命ffl0pi982 濟 ass DHCP c=e2.HD磷sffisw臉述。DHCP Opi_on82 DHCP Server 游 EESDHCPa5)4T 訪Opi_on82 濟s明。11.1，fflDHCPasw患渤君 Opi_on82 濟ss瞟IuawQv-ansdhcp 0p-l-0n82 7-nsert Insert Opi-on82 -a.。DHCP packers #ffi rebu=d Rebu=d Opi-on82 -nr-l-he DHCP packers # IuawQv-ansdhcp 0p-l-0n82 -nser

23、t 7 enab-e Enab-eIuawQG-gab 一iE1:heme8AV2Jdhcp Opi-on82 7 c-rcur-d DHCP Opi-on82 subopi-on Qrcu 一 i ID formal: The formal: of DHCP Opi-on82 -nsert Insert Opi-on82 -a.。DHCP packers rebu=d Rebu=d Opi-on82 .5 ihe DHCP packersremote-id DHCP option82 sub-option Remote IDvlan Virtual LANHuawei-GigabitEthernet0/0/2dhcp option82 rebuild ?enable Enable11.2、配置Option82選項的格式Huawei-GigabitEthernet0/0/2dhcp option82 vlan 3 circuit-id format ?common Common format.Circuit-ID:%iftype%slot/%subslot/%port:%svlan.%cvlan %sysname/0/0/ 0/0/0.Remote-ID: %macdefault Default format.